Struttura del modello – linee guida

La Società, nella costruzione del modello, ha fatto propri i criteri del Decreto e, sulla scorta delle indicazioni fornite dalle Linee Guida di Confindustria, di altri Organismi accreditati e delle linee guida per la gestione delle residenze sanitarie assistenziali emanate dalle singole Regioni, ha articolato la gestione del rischio in due fasi principali:

a) l’identificazione dei rischi: ossia l’analisi della struttura dell’ente per individuare quali siano le attività nel cui ambito possono essere commessi i reati indicati dal Decreto;

b) la progettazione del sistema di controllo: ossia la valutazione del sistema esistente all’interno dell’ente ed il suo eventuale adeguamento, in termini di capacità di contrastare efficacemente i rischi identificati (rischio accettabile).

Per espressa previsione legislativa (art. 6 comma 3) i Modelli possono essere adottati sulla base di codici di comportamento redatti dalle associazioni rappresentative di categoria, comunicate al Ministero della Giustizia che, di concerto con i Ministri

competenti, può formulare entro 30 giorni, osservazioni sull’idoneità dei Modelli a prevenire i reati.

La predisposizione del presente Modello è ispirata alle “Linee Guida” emanate da Confindustria.

E’ opportuno evidenziare che nel settore dell’assistenza alla persona i principi generali di queste linee guida sono stati ribaditi dalle linee guida dell’AIOP - Associazione italiana ospedalità privata e dalle linee guida dell’Aris - Associazione Religiosa Istituti Socio-Sanitari.

Il percorso da queste indicato per l’elaborazione del Modello, può essere schematizzato secondo i seguenti punti fondamentali:

➢ individuazione delle aree a rischio, volta a verificare in quali aree e/o settori dell’attività aziendale sia possibile la realizzazione delle fattispecie previste dal Decreto;

➢ predisposizione di un sistema di controllo in grado di ricondurre i rischi attraverso l’adozione di appositi protocolli. A supporto di ciò soccorre l’insieme coordinato di strutture organizzative, attività e regole operative applicate, su indicazione del vertice apicale, dal management e dal personale aziendale, volto a fornire una ragionevole sicurezza in merito al raggiungimento delle finalità rientranti in un buon sistema di controllo interno.

Le componenti più rilevanti del sistema di controllo preventivo proposte da Confindustria sono: i) codice etico; ii) sistema organizzativo; iii) procedure manuali ed informatiche; iv) poteri autorizzativi e di firma; v) sistemi di controllo e gestone; vi) comunicazioni al personale e sua formazione.

Le componenti del sistema di controllo devono essere informate ai seguenti principi:

➢ verificabilità, documentabilità, coerenza e congruenza di ogni operazione: per ogni operazione vi deve essere un adeguato supporto documentale su cui si possa procedere in ogni momento all’effettuazione di controlli che attestino le

caratteristiche e le motivazioni dell’operazione e individuino chi ha autorizzato, effettuato, registrato verificato l’operazione stessa;

➢ separazione delle funzioni, nessuno può gestire in autonomia un intero processo: il sistema deve garantire l’applicazione del principio della separazione di funzioni, per cui l’autorizzazione all’effettuazione di un’operazione, deve essere sotto la responsabilità di persona diversa da chi contabilizza, esegue operativamente e controlla l’operazione. Inoltre occorre che: i) a nessuno vengano attribuiti poteri illimitati; ii) i poteri e le responsabilità siano chiaramente definiti e conosciuti all’interno dell’organizzazione; iii) i poteri autorizzativi e di firma siano coerenti con le responsabilità organizzative assegnate;

➢ documentazione dei controlli: il sistema di controllo deve documentare, eventualmente anche attraverso la redazione di verbali, l’effettuazione di controlli, anche di supervisione; - introduzione di un adeguato sistema sanzionatorio per le violazioni delle norme e delle procedure previste dal modello;

➢ individuazione di un Organismo di Vigilanza, dotato dei requisiti di autonomia, indipendenza, professionalità e continuità d’azione al quale le varie funzioni aziendali debbono inviare una serie di informazioni.

Resta inteso che l’eventuale scelta di non seguire in alcuni punti specifici le Linee Guida non inficia la validità di un Modello. Questo infatti, essendo redatto con riferimento alle peculiarità di una determinata società, può discostarsi dalle Linee Guida che per loro natura hanno carattere generale.

Deve essere, cioè, definito un limite alla quantità e alla tipologia delle misure di prevenzione da introdurre, per evitare la commissione dei reati considerati. In assenza, infatti, di una previa determinazione del rischio accettabile, la varietà dei controlli preventivi istituibili è virtualmente infinita, con le intuibili conseguenze in termini di operatività aziendale. Il sistema di prevenzione deve essere tale da non potere essere aggirato se non intenzionalmente.

Questo è in linea con la logica della “elusione fraudolenta” del modello quale esimente ai fini dell’esclusione della responsabilità amministrativa dell’ente. Tale sistema deve, quindi, essere in grado di:

➢ escludere che un qualunque soggetto operante all’interno dell’ente possa giustificare la propria condotta adducendo l’ignoranza delle direttive aziendali;

➢ evitare che, nella normalità dei casi, il reato possa essere causato dall’errore umano (dovuto anche a negligenza o imperizia) nella valutazione delle direttive della Società.

Una volta individuate le attività, il cui svolgimento può comportare per la Società l’assunzione di rischi che vanno oltre la soglia di accettabilità, sono stati attuati i c.d.

protocolli, ovvero le seguenti componenti del sistema di controllo preventivo:

➢ codice etico;

➢ linee di condotta e parti speciali del Modello;

➢ sistema organizzativo che mette in evidenza le linee di dipendenza gerarchica e le attribuzioni di responsabilità, ovvero un organigramma aziendale;

➢ procedure manuali ed informatiche e istruzioni operative atte a regolamentare lo svolgimento delle attività aziendali “a rischio”, con particolare riferimento all’efficacia

➢ preventiva della separazione dei compiti fra coloro che svolgono attività cruciali di un unico processo “a rischio”;

➢ poteri autorizzativi e di firma;

➢ comunicazione al personale con riguardo al codice etico, alle linee di condotta, ai poteri di firma, all’organigramma, alle procedure e, in generale, a tutto quanto contribuisca a dare trasparenza alle attività quotidiane.

Le componenti di cui innanzi avranno maggiore efficacia quanto più saranno ispirate ai rigidi principi di controllo interno, di cui sopra:

➢ ogni operazione, transazione, azione deve essere: verificabile, documentata, coerente e congrua;

➢ nessuno può gestire in autonomia un intero processo aziendale;

➢ ogni controllo deve essere opportunamente documentato.

Il presente modello è costituito da una Parte Generale, dalle Parti Speciali, dal Codice Etico e dai protocolli di prevenzione.

La parte speciale contiene:

➢ la specifica dei reati previsti dal Decreto che, sulla scorta dell’analisi aziendale di cui al sub a), presentano un’apprezzabile rischio di commissione;

➢ la specifica delle attività della Società che possono portare alla loro commissione;

➢ l’indicazione delle procedure atte a prevenirle, al fine di poter addurre l’esistenza dell’esimente qualora venisse, nonostante tutto, commesso un reato.

Il codice Etico si propone di confermare e fissare in un documento i principi di correttezza, lealtà, integrità e trasparenza dei comportamenti aziendali, del modo di operare e della conduzione dei rapporti, sia al proprio interno che nei confronti dei soggetti terzi. Il codice etico formalizza inoltre le regole di diligenza richiesta a chi opera nell’interesse o vantaggio della Società nell’ambito dei rapporti contrattuali in essere e nell’esecuzione delle prestazioni da essi previsti.